Спецпроекты

Безопасность Госрегулирование Пользователю Стратегия безопасности Интернет

Знаменитому русскому ботнету приходит конец

В ночь с пятницы на субботу в Британии закрыто три управляющих сервера знаменитого вредоносного ботнета Koobface. По мнению аналитиков, его владельцами являются либо граждане России, либо «русскоязычные киберпреступники».
Поздно вечером в пятницу были остановлены управляющие серверы одного из интереснейших ботнетов современности — Koobface. Об этом сообщил PC World со слов ведущего сотрудника SecDev Group Нарта Вильнева (Nart Villeneuve). Вильнев полагает, что Koobface построен и управляется выходцами из России.

Эксперт сумел доказать принадлежность трех серверов, подключенных через английского провайдера Coreix, к Koobface. После того, как SecDev привлекла к расследованию английскую полицию, провайдер лишил серверы доступа к Сети. «Теперь они в оффлайне», — заявил в ночь с 12 на 13 ноября Нарт Вильнев.

Червь Koobface известен более двух лет. Он примечателен тем, что стал первым ботнетом, активно использующим для заражения компьютеров Facebook, и само его имя представляет собой анаграмму названия крупнейшей в мире социальной сети.

Для вовлечения пользовательских компьютеров во вредоносную сеть ботнет рассылает по контактам уже зараженных компьютеров предложение кликнуть на смешной видеоролик, для чего пользователю требуется обновить flash-плеер. После перехода по ссылке на компьютер жертвы устанавливается вредоносное Java-приложение. Помимо Facebook, Koobface распространяется через MySpace, Twitter и другие соцсети.

Другая интересная особенность Koobface — его работоспособность на компьютерах под управлением Mac OS X. Операционная система, разработанная Apple, считается чрезвычайно устойчивой к заражениям. О ее подверженности Koobface стало известно в 2010 г.


Koobface подстерегает доверчивых жителей соцсетей и просит их обновить флеш-плеер. Вместо плеера на их компьютер устанавливается троян

Заражая компьютеры своих жертв, Koobface перенаправляет пользователей на страницы с ложными антивирусами, требующими оплаты за лечение со счета в банке или по SMS. Как сообщает Нарт Вильнев, выручку хозяевам червя обеспечивали именно владельцы этих страниц.

Один из центральных серверов, обезвреженных этой ночью, Mothership, использовался для отслеживания финансовых потоков группы владельцев Koobface. Собственно, предположение о принадлежности Koobface выходцам из России основано на том, что сервер ежедневно отправлял SMS на четыре российских мобильных номера — в них содержался краткий отчет о дневном движении средств на счетах. Нарт Вильнев утверждает, что как минимум один из владельцев этих номеров живет в Санкт-Петербурге.

В «Лаборатории Касперского» считают верной информацию, что за Koobface стоят русскозычные киберпреступники. «Русскоязычные, а не только русские», — подчеркнул главный антивирусный эксперт «Лаборатории» Александр Гостев.

Гостев затруднился оценить, о каком числе заражений компьютеров при помощи Koobface может идти речь: «Koobface существует уже несколько лет и в какие-то моменты распространяется более активно, а в какие-то менее. Из-за этого нельзя указать точное количество, это число постоянно меняется. Однако речь идет о миллионах заражений».

Основываясь на данных Mothership, исследователи ботнета говорят, что за сутки хозяевам Koobface удавалось как потерять $1,014 тыс. (15 января 2010 г.), так и заработать $19,9 тыс. (23 марта 2010 г.).

В целом Koobface был довольно прибыльным бизнесом. Будучи первым ботнетом, который начал работать с Facebook, за год между июнем 2009 г. и июнем 2010 г. он принес своим владельцам больше $2 млн.

С отключением английских серверов бизнес владельцев Koobface вряд ли прервется. Александр Гостев говорит, что, по его наблюдениям, количество управляющих центров этого ботнета исчисляется сотнями, и они довольно оперативно мигрируют. Однако, он рассчитывает на успех международной операции по закрытию Koobface и аресту его создателей: «История только начинается».

Владислав Мещеряков

Короткая ссылка